תוכנות זדוניות של SwaetRAT
SwaetRAT הוא טרויאני גישה מרחוק (RAT) שנבנה כיישום 32 סיביות באמצעות מסגרת NET. סוג זה של איום מאפשר לתוקפים להשיג שליטה בלתי מורשית על מערכת שנפרצה, ומאפשר להם לנטר את פעילות המשתמש, לחלץ מידע רגיש ולהפעיל פקודות מרחוק.
תוכן העניינים
רישום מקשים וגניבת נתונים
אחת הפונקציות העיקריות של SwaetRAT היא רישום מקשים, אשר לוכדת כל הקשה שנעשתה על ידי הקורבן. יכולת זו מאפשרת לו לתעד אישורי כניסה, פרטים פיננסיים, הודעות אישיות ונתונים סודיים אחרים. בנוסף, ה-RAT סורק את קובץ 'Log.tmp' עבור מילות מפתח כגון 'Paypal' ו'Binance', שתי פלטפורמות פיננסיות בשימוש נרחב. אם נמצאו התאמות כלשהן, המידע מועבר לשרת ה-Command-and-Control (C2) של התוקף, ומעניק לפושעי סייבר תובנה לגבי הפעילות הפיננסית של הקורבן.
פרופיל מערכת וביצוע פקודות
SwaetRAT אוסף פרטי מערכת שונים, לרבות מזהה המערכת הייחודי, שם המשתמש, מידע מערכת ההפעלה, תוכנת האבטחה המותקנת והאם למשתמש יש הרשאות ניהול. מעבר לאיסוף מידע, ה-RAT תומך במגוון פקודות לביצוע מספר פעולות במכשיר נגוע.
היכולות שלו כוללות כתיבה וביצוע של סקריפטים של PowerShell, הורדה והשקה של קבצים ממקומות מרוחקים, לכידת צילומי מסך, הקלטת פעילות מסך בזמן אמת, יצירת קבצים על שולחן העבודה ואפילו הסרה מהמערכת. פונקציות אלו עלולות להוביל להשלכות כגון גניבת זהות, הונאה פיננסית, זיהומים נוספים ופגיעה ממושכת במערכת.
שרשרת זיהום ופריסה
SwaetRAT מועבר בדרך כלל באמצעות דוא"ל דיוג שמפנים קורבנות לאתר הונאה המארח לקוח ScreenConnect שנפגע. לאחר ביצוע, הלקוח מחבר את המחשב הנגוע לשרת הנשלט על ידי תוקף.
לאחר מכן, סקריפט VBS ירד למערכת, אשר מאחזר קוד לא בטוח נוסף מהאינטרנט. קוד זה מפוענח ומבוצע, מה שמוביל בסופו של דבר לפריסה של ה- Ande Loader, המספק את SwaetRAT כמטען הסופי.
עם השליטה הנרחבת שלה על מערכות נגועות, SwaetRAT מהווה סיכון ניכר לקורבנות, ומקלה על גניבת מידע, מעקב לא מורשה וניצול נוסף של מכשירים שנפגעו.
